SlideShare a Scribd company logo

PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny komponent dostarczania usług telekomunikacyjnych, Maciej Pokorniecki

Download as PPTX, PDF
PROIDEA
PROIDEA

PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny komponent dostarczania usług telekomunikacyjnych, Maciej Pokorniecki

Internet
1 of 18
1 © Nokia 20161 © Nokia 2016 System zarządzania bezpieczeństwem informacji jako integralny komponent dostarczania usług telekomunikacyjnych PLNOG 2016 Public • Maciej Pokorniecki NOKIA Warszawa 1.03.2016
2 © Nokia 20162 © Nokia 2016 Informacje dotyczące moje osoby Public • Praca: Serwisy telekomunikacyjne – (migracje/integracje/utrzymanie) od 2005 • Doświadczenie: 10 lat praktycznych doświadczeń z bezpieczeństwem informacji • Certyfikaty: LA 27001:2013, CEH i kilka innych… • Pasje: Zarządzanie bezpieczeństwem informacji, Testowanie bezpieczeństwa IT
3 © Nokia 20163 © Nokia 2016 Tematy poruszone podczas prelekcji Public • Odpowiedzi na często zadawane pytania • Czym jest system zarządzania bezpieczeństwem zgodny z ISO27001 • Kilka znanych prawd… • Referencyjny proces implementacji systemu zarządzania bezpieczeństwem informacji w zgodności z ISO27001 • Proces zarządzania – jak utrzymać zaimplementowany system • Podsumowanie • Pytania i odpowiedzi
4 © Nokia 20164 © Nokia 2016 Częste pytania dotyczące bezpieczeństwa informacji Public • Jak rozumiemy bezpieczeństwo informacji w kontekście usług telekomunikacyjnych? • Dlaczego bezpieczeństwo informacji staje się integralną częścią świadczenia usług telekomunikacyjnych? – Dlaczego ISO27001? • Czy podejście systemowe zawsze rozwiązuje problem bezpieczeństwa?
5 © Nokia 20165 © Nokia 2016 Częste pytania dotyczące bezpieczeństwa informacji Public • Na jakie kluczowe kwestie należy zwrócić uwagę podczas budowania systemów bezpieczeństwa informacji?  Dokładne rozumienie mechanizmów zarządzania bezpieczeństwem w organizacji  Szczegółowe zrozumienie wymagań i oczekiwań klientów  Pełne wsparcie i świadomość tematu po stronie kierownictwa organizacji i projektów  Zdefiniowane ścieżki komunikacji pomiędzy wszystkimi zainteresowanymi stronami  Skuteczne mechanizmy pomiaru skuteczności zabezpieczeń  Jasne metody egzekwowania odpowiedzialności  Wybór „bazy standaryzującej” system zarządzania bezpieczeństwem informacji
6 © Nokia 20166 © Nokia 2016 Czym jest system zarządzania bezpieczeństwem zgodny z ISO27001 Public
7 © Nokia 20167 © Nokia 2016 Czym jest ISO27001 Public • Standard międzynarodowy bazujący na BS7799 – znany od 1999r – powstał w Wielkiej Brytanii, bazuje na kanwie systemowej ISO9000 • ISO27001:2013 Jest zbiorem dobrych praktyk - uzupełnionym przez standardy pomocnicze tj: ISO27002 Działania utrzymania i zarządzania systemem Ustanowienie systemu Wykaz zabezpieczeń – załącznik A -114 zabezpieczeń „Bezpieczeństwo to proces, nie produkt” Bruce Schneier
8 © Nokia 20168 © Nokia 2016 Czym jest ISO27001 Public Część stanowiąca system Część opisowa wymaganych zabezpieczeń • Understanding the organization and its context, the needs and expectations of interested parties, Determining the scope of the information security management system 4 Context of the organization • Leadership and commitment, Policy, Organizational roles, responsibilities and authorities5 Leadership • Actions to address risks and opportunities, Information security objectives and planning to achieve them6 Planning • Resources, Competence, Awareness, Communication, Documented information7 Support • Operational planning and control, risk assessment, risk treatment8 Operation • Monitoring, measurement, analysis and evaluation, Internal audit, Management review 9 Performance evaluation • Nonconformity and corrective action, Continual improvement10 Improvement A.5 Information security policies A.6 Organization of information security A.7 Human resource security A.8 Asset management A.9 Access control A.10 Cryptography A.11 Physical and environmental security A.12 Operations security A.13 Communications security A.14 System acquisition, development and maintenance A.15 Supplier relationships A.16 Information security incident management A.17 Aspects of business continuity management A.18 Compliance
9 © Nokia 20169 © Nokia 2016 Kilka znanych prawd… Public
10 © Nokia 201610 © Nokia 2016 Obszary wspierane przez system zarządzania bezpieczeństwem informacji Public Bezpieczeństwo fizyczne Bezpieczeństwo osobowe Bezpieczeństwo prawne Bezpieczeństwo teleinformatyczne Bezpieczeństwo procesowe Informacje chronione Poufność IntegralnośćDostępność
11 © Nokia 201611 © Nokia 2016 Słabości Inteligencja, Wiedza W poszukiwaniu najsłabszego ogniwa „Dualność czynnika ludzkiego…” Public
12 © Nokia 201612 © Nokia 2016 Istota poszukiwania balansu Public ? ? Zasada (Pareto) Poziom bezpieczeństwa Poziom kosztów Bezpieczeństwo „idealne” „Umowne optimum”
13 © Nokia 201613 © Nokia 2016 Referencyjny proces implementacji systemu zarządzania bezpieczeństwem informacji w zgodności z ISO27001 Public
14 © Nokia 201614 © Nokia 2016 Referencyjny proces implementacji systemu zarządzania Public 1. Uzyskanie wsparcia kierownictwa 2. Zapoznanie się z wymaganiami 3. Określenie zakresu i celów wdrożenia 4. Wykonanie analizy „słabych stron” 5. Przygotowanie mapy wymagania – istniejące zabezpieczenia 6. Stworzenie „deklaracji stosowania” 7. Wykonanie analizy ryzyka 8. Wybór strategii postępowania z ryzykiem 9. Wdrożenie zabezpieczeń i dokumentacji 10. Weryfikacja i walidacja sytemu – „audyt” P DC A Wewnętrzne Zewnętrzne Prawne, branżowe Uzyskanie dostępu do odpowiednich zespołów Pełna znajomość wymagań klientów Akceptacja planów przez właścicieli systemów docelowych Opracowana i zaakceptowana metodologia analizy ryzyka Implementacja systemów GR&C (Governance, Risk&Compliance) Audyty wewnętrzne, stron trzecich, certyfikacyjne Wsparcie kierownictwa doskonała znajomość struktur organizacji
15 © Nokia 201615 © Nokia 2016 Proces utrzymania systemu Public 1. Stałe monitorowanie wymagań 2. Stałe monitorowanie skuteczności systemu 3. Kontrola planów przeciwdziałania 4. Stały proces analizy ryzyka 5. Korekcja i aktualizacja dokumentacji 6. Wykonywanie przeglądów kierowniczych 7. Audyty wewnętrzne 8. Audyty zewnętrzne P DC A Zdefiniowane metryki i mechanizmy pomiarowe Wdrażanie planów w indywidualnych projektach Monitorowanie podatności i zagrożeń dobór strategii postępowania Konieczność stałego zaangażowania kierownictwa organizacji Samoocena oraz wewnętrzne audyty niezależne Audyty: certyfikujące, kontrolne, recertyfikujące
16 © Nokia 201616 © Nokia 2016 Podsumowanie Public • Bezpieczeństwo – konieczność, nie opcja • Dlaczego w większości przypadków wystarcza zgodność vs. certyfikacja • Dynamiczne zarządzanie bezpieczeństwem kluczem do ochrony informacji • Synergia procesów dostarczania usług i systemów zarządzania bezpieczeństwem • Komunikacja podstawą sukcesu • Stawiaj na świadomość
17 © Nokia 201617 © Nokia 2016 Public Pytania i odpowiedzi
PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny komponent dostarczania usług telekomunikacyjnych, Maciej Pokorniecki

Recommended

Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Logicaltrust pl
 
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PROIDEA
 
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie BezpieczenstwaAudyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
Pawel Krawczyk
 
PLNOG16: Ochrona AntiDDoS, lokalnie oraz w chmurze, Paweł Wachełka
PLNOG16: Ochrona AntiDDoS, lokalnie oraz w chmurze, Paweł WachełkaPLNOG16: Ochrona AntiDDoS, lokalnie oraz w chmurze, Paweł Wachełka
PLNOG16: Ochrona AntiDDoS, lokalnie oraz w chmurze, Paweł Wachełka
PROIDEA
 
PLNOG16: EXTREME(alnie) przeciw DDoS’om, Krzysztof Surgut, Michał Gąszczyk
PLNOG16: EXTREME(alnie) przeciw DDoS’om, Krzysztof Surgut, Michał GąszczykPLNOG16: EXTREME(alnie) przeciw DDoS’om, Krzysztof Surgut, Michał Gąszczyk
PLNOG16: EXTREME(alnie) przeciw DDoS’om, Krzysztof Surgut, Michał Gąszczyk
PROIDEA
 
PLNOG16: Ceph distributed storage in OVH, Paweł Sadowski
PLNOG16: Ceph distributed storage in OVH, Paweł SadowskiPLNOG16: Ceph distributed storage in OVH, Paweł Sadowski
PLNOG16: Ceph distributed storage in OVH, Paweł Sadowski
PROIDEA
 
PLNOG16: Planowanie sieci FTTx z wykorzystaniem technik T-WDM, Adam Grodecki
PLNOG16: Planowanie sieci FTTx z wykorzystaniem technik T-WDM, Adam GrodeckiPLNOG16: Planowanie sieci FTTx z wykorzystaniem technik T-WDM, Adam Grodecki
PLNOG16: Planowanie sieci FTTx z wykorzystaniem technik T-WDM, Adam Grodecki
PROIDEA
 
PLNOG16: Jak wykorzystać BRAS/BNG na platformach Cisco w celu świadczenia dod...
PLNOG16: Jak wykorzystać BRAS/BNG na platformach Cisco w celu świadczenia dod...PLNOG16: Jak wykorzystać BRAS/BNG na platformach Cisco w celu świadczenia dod...
PLNOG16: Jak wykorzystać BRAS/BNG na platformach Cisco w celu świadczenia dod...
PROIDEA
 

Recommended

Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Darmowe narzędzia wspomagające procesy zabezpieczania infrastruktury firmowej.
Logicaltrust pl
 
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PLNOG 18 - Piotr Błażewicz - Wymuszenie jednolitej polityki bezpieczeństwa w ...
PROIDEA
 
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie BezpieczenstwaAudyt Wewnetrzny W Zakresie Bezpieczenstwa
Audyt Wewnetrzny W Zakresie Bezpieczenstwa
Pawel Krawczyk
 
PLNOG16: Ochrona AntiDDoS, lokalnie oraz w chmurze, Paweł Wachełka
PLNOG16: Ochrona AntiDDoS, lokalnie oraz w chmurze, Paweł WachełkaPLNOG16: Ochrona AntiDDoS, lokalnie oraz w chmurze, Paweł Wachełka
PLNOG16: Ochrona AntiDDoS, lokalnie oraz w chmurze, Paweł Wachełka
PROIDEA
 
PLNOG16: EXTREME(alnie) przeciw DDoS’om, Krzysztof Surgut, Michał Gąszczyk
PLNOG16: EXTREME(alnie) przeciw DDoS’om, Krzysztof Surgut, Michał GąszczykPLNOG16: EXTREME(alnie) przeciw DDoS’om, Krzysztof Surgut, Michał Gąszczyk
PLNOG16: EXTREME(alnie) przeciw DDoS’om, Krzysztof Surgut, Michał Gąszczyk
PROIDEA
 
PLNOG16: Ceph distributed storage in OVH, Paweł Sadowski
PLNOG16: Ceph distributed storage in OVH, Paweł SadowskiPLNOG16: Ceph distributed storage in OVH, Paweł Sadowski
PLNOG16: Ceph distributed storage in OVH, Paweł Sadowski
PROIDEA
 
PLNOG16: Planowanie sieci FTTx z wykorzystaniem technik T-WDM, Adam Grodecki
PLNOG16: Planowanie sieci FTTx z wykorzystaniem technik T-WDM, Adam GrodeckiPLNOG16: Planowanie sieci FTTx z wykorzystaniem technik T-WDM, Adam Grodecki
PLNOG16: Planowanie sieci FTTx z wykorzystaniem technik T-WDM, Adam Grodecki
PROIDEA
 
PLNOG16: Jak wykorzystać BRAS/BNG na platformach Cisco w celu świadczenia dod...
PLNOG16: Jak wykorzystać BRAS/BNG na platformach Cisco w celu świadczenia dod...PLNOG16: Jak wykorzystać BRAS/BNG na platformach Cisco w celu świadczenia dod...
PLNOG16: Jak wykorzystać BRAS/BNG na platformach Cisco w celu świadczenia dod...
PROIDEA
 
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek MiśPLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PROIDEA
 
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PROIDEA
 
PLNOG16: VXLAN Gateway, efektywny sposób połączenia świata wirtualnego z fizy...
PLNOG16: VXLAN Gateway, efektywny sposób połączenia świata wirtualnego z fizy...PLNOG16: VXLAN Gateway, efektywny sposób połączenia świata wirtualnego z fizy...
PLNOG16: VXLAN Gateway, efektywny sposób połączenia świata wirtualnego z fizy...
PROIDEA
 
PLNOG16: Administratorzy umarli ? Paweł Stefański
PLNOG16: Administratorzy umarli ? Paweł StefańskiPLNOG16: Administratorzy umarli ? Paweł Stefański
PLNOG16: Administratorzy umarli ? Paweł Stefański
PROIDEA
 
PLNOG16: Czy każdy administrator sieci zostanie programistą, Sławomir Januk...
PLNOG16: Czy każdy administrator sieci zostanie programistą, Sławomir Januk...PLNOG16: Czy każdy administrator sieci zostanie programistą, Sławomir Januk...
PLNOG16: Czy każdy administrator sieci zostanie programistą, Sławomir Januk...
PROIDEA
 
PLNOG16: Ewolucja infrastruktury średniego ISP, czyli jak człowiek uczy się n...
PLNOG16: Ewolucja infrastruktury średniego ISP, czyli jak człowiek uczy się n...PLNOG16: Ewolucja infrastruktury średniego ISP, czyli jak człowiek uczy się n...
PLNOG16: Ewolucja infrastruktury średniego ISP, czyli jak człowiek uczy się n...
PROIDEA
 
PLNOG16: DNS – przyjaciel e-szpiegów i e-złodziei. Analityka w służbie jej DN...
PLNOG16: DNS – przyjaciel e-szpiegów i e-złodziei. Analityka w służbie jej DN...PLNOG16: DNS – przyjaciel e-szpiegów i e-złodziei. Analityka w służbie jej DN...
PLNOG16: DNS – przyjaciel e-szpiegów i e-złodziei. Analityka w służbie jej DN...
PROIDEA
 
PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...
PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...
PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...
PROIDEA
 
PLNOG16: DDOS SOLUTIONS – CUSTOMER POINT OF VIEW, Piotr Wojciechowski
PLNOG16: DDOS SOLUTIONS – CUSTOMER POINT OF VIEW, Piotr WojciechowskiPLNOG16: DDOS SOLUTIONS – CUSTOMER POINT OF VIEW, Piotr Wojciechowski
PLNOG16: DDOS SOLUTIONS – CUSTOMER POINT OF VIEW, Piotr Wojciechowski
PROIDEA
 
PLNOG16: Polityka NCBR wspierająca prace badawczo-rozwojowe sektora ICT, Hube...
PLNOG16: Polityka NCBR wspierająca prace badawczo-rozwojowe sektora ICT, Hube...PLNOG16: Polityka NCBR wspierająca prace badawczo-rozwojowe sektora ICT, Hube...
PLNOG16: Polityka NCBR wspierająca prace badawczo-rozwojowe sektora ICT, Hube...
PROIDEA
 
PLNOG16: ZTP – Zero Touch Provisioning in use, Marek Plaza
PLNOG16: ZTP – Zero Touch Provisioning in use, Marek PlazaPLNOG16: ZTP – Zero Touch Provisioning in use, Marek Plaza
PLNOG16: ZTP – Zero Touch Provisioning in use, Marek Plaza
PROIDEA
 
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PROIDEA
 
Bezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtaborBezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtabor
Michał Tabor
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
SecuRing
 
MEHARI-Risk - oprogramowanie do analizy ryzyka w bezpieczeństwie informacji /...
MEHARI-Risk - oprogramowanie do analizy ryzyka w bezpieczeństwie informacji /...MEHARI-Risk - oprogramowanie do analizy ryzyka w bezpieczeństwie informacji /...
MEHARI-Risk - oprogramowanie do analizy ryzyka w bezpieczeństwie informacji /...
Gi4official
 
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacjiZarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Pawel Wawrzyniak
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Rafal
 
Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009
Wojciech Boczoń
 
Przyszłość IT. Marcin Wesołowski.
Przyszłość IT. Marcin Wesołowski.Przyszłość IT. Marcin Wesołowski.
Przyszłość IT. Marcin Wesołowski.
Eureka Technology Park / Eureka Hub
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
Karol Chwastowski
 
System zarządzania bezpieczeństwem informacji w podmiotach publicznych
System zarządzania bezpieczeństwem informacji w podmiotach publicznychSystem zarządzania bezpieczeństwem informacji w podmiotach publicznych
System zarządzania bezpieczeństwem informacji w podmiotach publicznych
KS KS
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
guest84f9115
 

More Related Content

Viewers also liked

Viewers also liked (11)

PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek MiśPLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
PLNOG16: Yoyo ! To my, pakiety ! Złap nas jeśli potrafisz, Leszek Miś
 
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
PLNOG16: Software Defined Networks w oparciu o rozwiązania VMware (Case study...
 
PLNOG16: VXLAN Gateway, efektywny sposób połączenia świata wirtualnego z fizy...
PLNOG16: VXLAN Gateway, efektywny sposób połączenia świata wirtualnego z fizy...PLNOG16: VXLAN Gateway, efektywny sposób połączenia świata wirtualnego z fizy...
PLNOG16: VXLAN Gateway, efektywny sposób połączenia świata wirtualnego z fizy...
 
PLNOG16: Administratorzy umarli ? Paweł Stefański
PLNOG16: Administratorzy umarli ? Paweł StefańskiPLNOG16: Administratorzy umarli ? Paweł Stefański
PLNOG16: Administratorzy umarli ? Paweł Stefański
 
PLNOG16: Czy każdy administrator sieci zostanie programistą, Sławomir Januk...
PLNOG16: Czy każdy administrator sieci zostanie programistą, Sławomir Januk...PLNOG16: Czy każdy administrator sieci zostanie programistą, Sławomir Januk...
PLNOG16: Czy każdy administrator sieci zostanie programistą, Sławomir Januk...
 
PLNOG16: Ewolucja infrastruktury średniego ISP, czyli jak człowiek uczy się n...
PLNOG16: Ewolucja infrastruktury średniego ISP, czyli jak człowiek uczy się n...PLNOG16: Ewolucja infrastruktury średniego ISP, czyli jak człowiek uczy się n...
PLNOG16: Ewolucja infrastruktury średniego ISP, czyli jak człowiek uczy się n...
 
PLNOG16: DNS – przyjaciel e-szpiegów i e-złodziei. Analityka w służbie jej DN...
PLNOG16: DNS – przyjaciel e-szpiegów i e-złodziei. Analityka w służbie jej DN...PLNOG16: DNS – przyjaciel e-szpiegów i e-złodziei. Analityka w służbie jej DN...
PLNOG16: DNS – przyjaciel e-szpiegów i e-złodziei. Analityka w służbie jej DN...
 
PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...
PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...
PLNOG16: DNS Catalog Zones łatwe tworzenie i synchronizacja serwowanych ...
 
PLNOG16: DDOS SOLUTIONS – CUSTOMER POINT OF VIEW, Piotr Wojciechowski
PLNOG16: DDOS SOLUTIONS – CUSTOMER POINT OF VIEW, Piotr WojciechowskiPLNOG16: DDOS SOLUTIONS – CUSTOMER POINT OF VIEW, Piotr Wojciechowski
PLNOG16: DDOS SOLUTIONS – CUSTOMER POINT OF VIEW, Piotr Wojciechowski
 
PLNOG16: Polityka NCBR wspierająca prace badawczo-rozwojowe sektora ICT, Hube...
PLNOG16: Polityka NCBR wspierająca prace badawczo-rozwojowe sektora ICT, Hube...PLNOG16: Polityka NCBR wspierająca prace badawczo-rozwojowe sektora ICT, Hube...
PLNOG16: Polityka NCBR wspierająca prace badawczo-rozwojowe sektora ICT, Hube...
 
PLNOG16: ZTP – Zero Touch Provisioning in use, Marek Plaza
PLNOG16: ZTP – Zero Touch Provisioning in use, Marek PlazaPLNOG16: ZTP – Zero Touch Provisioning in use, Marek Plaza
PLNOG16: ZTP – Zero Touch Provisioning in use, Marek Plaza
 

Similar to PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny komponent dostarczania usług telekomunikacyjnych, Maciej Pokorniecki

Bezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtaborBezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtabor
Michał Tabor
 
Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009
Wojciech Boczoń
 
System zarządzania bezpieczeństwem informacji w podmiotach publicznych
System zarządzania bezpieczeństwem informacji w podmiotach publicznychSystem zarządzania bezpieczeństwem informacji w podmiotach publicznych
System zarządzania bezpieczeństwem informacji w podmiotach publicznych
KS KS
 
REVE UP
REVE UPREVE UP
REVE UP
DominikAdamRyfka
 

Similar to PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny komponent dostarczania usług telekomunikacyjnych, Maciej Pokorniecki (20)

PLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control PolicyPLNOG 13: Piotr Wojciechowski: Security and Control Policy
PLNOG 13: Piotr Wojciechowski: Security and Control Policy
 
Bezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtaborBezpieczeństwo informacji mtabor
Bezpieczeństwo informacji mtabor
 
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w PolsceOWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
OWASP CISO Survey 2014 - Wstępne wyniki badania w Polsce
 
MEHARI-Risk - oprogramowanie do analizy ryzyka w bezpieczeństwie informacji /...
MEHARI-Risk - oprogramowanie do analizy ryzyka w bezpieczeństwie informacji /...MEHARI-Risk - oprogramowanie do analizy ryzyka w bezpieczeństwie informacji /...
MEHARI-Risk - oprogramowanie do analizy ryzyka w bezpieczeństwie informacji /...
 
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacjiZarządzanie usługami centrum danych. Od inwestycji do eksploatacji
Zarządzanie usługami centrum danych. Od inwestycji do eksploatacji
 
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
Raport Deloitte i Gazeta.pl o bezpieczeństwie: polski aspekt Global Security ...
 
Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009Bezpieczeństwo w polskim Internecie 2009
Bezpieczeństwo w polskim Internecie 2009
 
Przyszłość IT. Marcin Wesołowski.
Przyszłość IT. Marcin Wesołowski.Przyszłość IT. Marcin Wesołowski.
Przyszłość IT. Marcin Wesołowski.
 
Zarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmieZarządzanie bezpieczeństwem informacji w firmie
Zarządzanie bezpieczeństwem informacji w firmie
 
System zarządzania bezpieczeństwem informacji w podmiotach publicznych
System zarządzania bezpieczeństwem informacji w podmiotach publicznychSystem zarządzania bezpieczeństwem informacji w podmiotach publicznych
System zarządzania bezpieczeństwem informacji w podmiotach publicznych
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
Analiza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnychAnaliza i ocena jakości współczesnych systemów operacyjnych
Analiza i ocena jakości współczesnych systemów operacyjnych
 
Chmura obliczeniowa Beyond.pl dla aplikacji Yanosik.pl
Chmura obliczeniowa Beyond.pl dla aplikacji Yanosik.plChmura obliczeniowa Beyond.pl dla aplikacji Yanosik.pl
Chmura obliczeniowa Beyond.pl dla aplikacji Yanosik.pl
 
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
Robert Olejnik - Bezpieczeństwo w chmurach, czyli jak i dlaczego stworzyliśmy...
 
OWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForceOWASP ASVS 3.1 EA PL - YetiForce
OWASP ASVS 3.1 EA PL - YetiForce
 
System zarządzania jakością - Ćwierćwiecze doświadczeń
System zarządzania jakością - Ćwierćwiecze doświadczeńSystem zarządzania jakością - Ćwierćwiecze doświadczeń
System zarządzania jakością - Ćwierćwiecze doświadczeń
 
REVE UP
REVE UPREVE UP
REVE UP
 
Analiza wydajności następnej generacji - przykłady.
Analiza wydajności następnej generacji - przykłady.Analiza wydajności następnej generacji - przykłady.
Analiza wydajności następnej generacji - przykłady.
 
Diaphane software 20.06.17
Diaphane software 20.06.17Diaphane software 20.06.17
Diaphane software 20.06.17
 
Qlik view folder_pl_j_commerce
Qlik view folder_pl_j_commerceQlik view folder_pl_j_commerce
Qlik view folder_pl_j_commerce
 

PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny komponent dostarczania usług telekomunikacyjnych, Maciej Pokorniecki

  • 1. 1 © Nokia 20161 © Nokia 2016 System zarządzania bezpieczeństwem informacji jako integralny komponent dostarczania usług telekomunikacyjnych PLNOG 2016 Public • Maciej Pokorniecki NOKIA Warszawa 1.03.2016
  • 2. 2 © Nokia 20162 © Nokia 2016 Informacje dotyczące moje osoby Public • Praca: Serwisy telekomunikacyjne – (migracje/integracje/utrzymanie) od 2005 • Doświadczenie: 10 lat praktycznych doświadczeń z bezpieczeństwem informacji • Certyfikaty: LA 27001:2013, CEH i kilka innych… • Pasje: Zarządzanie bezpieczeństwem informacji, Testowanie bezpieczeństwa IT
  • 3. 3 © Nokia 20163 © Nokia 2016 Tematy poruszone podczas prelekcji Public • Odpowiedzi na często zadawane pytania • Czym jest system zarządzania bezpieczeństwem zgodny z ISO27001 • Kilka znanych prawd… • Referencyjny proces implementacji systemu zarządzania bezpieczeństwem informacji w zgodności z ISO27001 • Proces zarządzania – jak utrzymać zaimplementowany system • Podsumowanie • Pytania i odpowiedzi
  • 4. 4 © Nokia 20164 © Nokia 2016 Częste pytania dotyczące bezpieczeństwa informacji Public • Jak rozumiemy bezpieczeństwo informacji w kontekście usług telekomunikacyjnych? • Dlaczego bezpieczeństwo informacji staje się integralną częścią świadczenia usług telekomunikacyjnych? – Dlaczego ISO27001? • Czy podejście systemowe zawsze rozwiązuje problem bezpieczeństwa?
  • 5. 5 © Nokia 20165 © Nokia 2016 Częste pytania dotyczące bezpieczeństwa informacji Public • Na jakie kluczowe kwestie należy zwrócić uwagę podczas budowania systemów bezpieczeństwa informacji?  Dokładne rozumienie mechanizmów zarządzania bezpieczeństwem w organizacji  Szczegółowe zrozumienie wymagań i oczekiwań klientów  Pełne wsparcie i świadomość tematu po stronie kierownictwa organizacji i projektów  Zdefiniowane ścieżki komunikacji pomiędzy wszystkimi zainteresowanymi stronami  Skuteczne mechanizmy pomiaru skuteczności zabezpieczeń  Jasne metody egzekwowania odpowiedzialności  Wybór „bazy standaryzującej” system zarządzania bezpieczeństwem informacji
  • 6. 6 © Nokia 20166 © Nokia 2016 Czym jest system zarządzania bezpieczeństwem zgodny z ISO27001 Public
  • 7. 7 © Nokia 20167 © Nokia 2016 Czym jest ISO27001 Public • Standard międzynarodowy bazujący na BS7799 – znany od 1999r – powstał w Wielkiej Brytanii, bazuje na kanwie systemowej ISO9000 • ISO27001:2013 Jest zbiorem dobrych praktyk - uzupełnionym przez standardy pomocnicze tj: ISO27002 Działania utrzymania i zarządzania systemem Ustanowienie systemu Wykaz zabezpieczeń – załącznik A -114 zabezpieczeń „Bezpieczeństwo to proces, nie produkt” Bruce Schneier
  • 8. 8 © Nokia 20168 © Nokia 2016 Czym jest ISO27001 Public Część stanowiąca system Część opisowa wymaganych zabezpieczeń • Understanding the organization and its context, the needs and expectations of interested parties, Determining the scope of the information security management system 4 Context of the organization • Leadership and commitment, Policy, Organizational roles, responsibilities and authorities5 Leadership • Actions to address risks and opportunities, Information security objectives and planning to achieve them6 Planning • Resources, Competence, Awareness, Communication, Documented information7 Support • Operational planning and control, risk assessment, risk treatment8 Operation • Monitoring, measurement, analysis and evaluation, Internal audit, Management review 9 Performance evaluation • Nonconformity and corrective action, Continual improvement10 Improvement A.5 Information security policies A.6 Organization of information security A.7 Human resource security A.8 Asset management A.9 Access control A.10 Cryptography A.11 Physical and environmental security A.12 Operations security A.13 Communications security A.14 System acquisition, development and maintenance A.15 Supplier relationships A.16 Information security incident management A.17 Aspects of business continuity management A.18 Compliance
  • 9. 9 © Nokia 20169 © Nokia 2016 Kilka znanych prawd… Public
  • 10. 10 © Nokia 201610 © Nokia 2016 Obszary wspierane przez system zarządzania bezpieczeństwem informacji Public Bezpieczeństwo fizyczne Bezpieczeństwo osobowe Bezpieczeństwo prawne Bezpieczeństwo teleinformatyczne Bezpieczeństwo procesowe Informacje chronione Poufność IntegralnośćDostępność
  • 11. 11 © Nokia 201611 © Nokia 2016 Słabości Inteligencja, Wiedza W poszukiwaniu najsłabszego ogniwa „Dualność czynnika ludzkiego…” Public
  • 12. 12 © Nokia 201612 © Nokia 2016 Istota poszukiwania balansu Public ? ? Zasada (Pareto) Poziom bezpieczeństwa Poziom kosztów Bezpieczeństwo „idealne” „Umowne optimum”
  • 13. 13 © Nokia 201613 © Nokia 2016 Referencyjny proces implementacji systemu zarządzania bezpieczeństwem informacji w zgodności z ISO27001 Public
  • 14. 14 © Nokia 201614 © Nokia 2016 Referencyjny proces implementacji systemu zarządzania Public 1. Uzyskanie wsparcia kierownictwa 2. Zapoznanie się z wymaganiami 3. Określenie zakresu i celów wdrożenia 4. Wykonanie analizy „słabych stron” 5. Przygotowanie mapy wymagania – istniejące zabezpieczenia 6. Stworzenie „deklaracji stosowania” 7. Wykonanie analizy ryzyka 8. Wybór strategii postępowania z ryzykiem 9. Wdrożenie zabezpieczeń i dokumentacji 10. Weryfikacja i walidacja sytemu – „audyt” P DC A Wewnętrzne Zewnętrzne Prawne, branżowe Uzyskanie dostępu do odpowiednich zespołów Pełna znajomość wymagań klientów Akceptacja planów przez właścicieli systemów docelowych Opracowana i zaakceptowana metodologia analizy ryzyka Implementacja systemów GR&C (Governance, Risk&Compliance) Audyty wewnętrzne, stron trzecich, certyfikacyjne Wsparcie kierownictwa doskonała znajomość struktur organizacji
  • 15. 15 © Nokia 201615 © Nokia 2016 Proces utrzymania systemu Public 1. Stałe monitorowanie wymagań 2. Stałe monitorowanie skuteczności systemu 3. Kontrola planów przeciwdziałania 4. Stały proces analizy ryzyka 5. Korekcja i aktualizacja dokumentacji 6. Wykonywanie przeglądów kierowniczych 7. Audyty wewnętrzne 8. Audyty zewnętrzne P DC A Zdefiniowane metryki i mechanizmy pomiarowe Wdrażanie planów w indywidualnych projektach Monitorowanie podatności i zagrożeń dobór strategii postępowania Konieczność stałego zaangażowania kierownictwa organizacji Samoocena oraz wewnętrzne audyty niezależne Audyty: certyfikujące, kontrolne, recertyfikujące
  • 16. 16 © Nokia 201616 © Nokia 2016 Podsumowanie Public • Bezpieczeństwo – konieczność, nie opcja • Dlaczego w większości przypadków wystarcza zgodność vs. certyfikacja • Dynamiczne zarządzanie bezpieczeństwem kluczem do ochrony informacji • Synergia procesów dostarczania usług i systemów zarządzania bezpieczeństwem • Komunikacja podstawą sukcesu • Stawiaj na świadomość
  • 17. 17 © Nokia 201617 © Nokia 2016 Public Pytania i odpowiedzi

Editor's Notes

  1. PCI-DSS - The Payment Card Industry Data Security Standard SoX - The Sarbanes–Oxley Act of 2002 (Pub.L. 107–204, 116 Stat. 745, enacted July 30, 2002) CMMI - Capability Maturity Model Integration (CMMI) is a process improvement training and appraisal program and service administered and marketed by Carnegie Mellon University (CMU) and required by many DoD and U.S. Government contracts, especially in software development. Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms - http://www.citia.co.uk/content/files/magic-quadrant-for-enterprise-governance-risk-and-compliance-platforms-2012_70384698.pdf